حملة الفدية التي تستهدف المنازل والشركات الصغيرة في تركيا

تستمر هجمات الفدية في التأثير على الأفراد والشركات في جميع أنحاء العالم، وتركيا ليست استثناءً. في هذا المقال، نستعرض حملة فدية منخفضة التكلفة تستهدف المنازل والشركات الصغيرة والمتوسطة في البلاد.

كشف الباحثون عن حملة فدية منخفضة التكلفة وعالية الحجم قد تكون تعمل بهدوء منذ عام 2020 على الأقل.

يُعرف “صائدو الألعاب الكبيرة” — المهاجمون الذين يستهدفون أكبر المنظمات التي يمكنهم العثور عليها — بأنهم لا يواجهون صعوبة في الحصول على إنجازاتهم في مواقع الأخبار. ستسمع أقل عن صيد الألعاب الصغيرة لأن الأهداف أقل اهتمامًا للجمهور العام، والمبالغ المعنية أقل جاذبية.

يبدو أن كلا النموذجين يعملان لصالح المهاجمين. تستفيد الجهات الفاعلة الكبيرة في مجال الفدية من الانتباه، مما يسمح لهم ببناء “علامات تجارية” تعتمد على الخوف والموثوقية. بينما يهرب المهاجمون الأصغر من الملاحظة، ويعملون بعيدًا عن نظر مجتمع الأمن السيبراني السائد ويجمعون ثروات بهدوء من الفتات.

وثقت تقرير من Acronis هذا الأسبوع حملة هجوم إلكتروني يبدو أنها استفادت من الصيد في بركة أصغر. الحملة محلية للغاية في تركيا، وخطتها بسيطة: استخدام برامج ضارة تجارية معدلة لابتزاز الأفراد والشركات الصغيرة والمتوسطة (SMBs) مقابل بضع مئات من الدولارات لكل عملية، على نطاق واسع.

“تميل الهجمات على المؤسسات الكبيرة إلى جذب انتباه وسائل الإعلام وضغوط إنفاذ القانون، بينما غالبًا ما تظل الحوادث الأصغر غير مُبلغ عنها، مما يسمح للحملات بالاستمرار لفترة أطول مع أقل قدر من الاضطراب،” يشرح سانتياغو بونتيرولي، قائد الفريق في وحدة أبحاث التهديدات في Acronis. وهذا بعيد عن الميزة الوحيدة التي يتمتع بها النموذج الأصغر.

هجمات الفدية ضد الشركات الصغيرة والمتوسطة في تركيا

تدفق التصيد المستخدم في هذه الحملة ليس مثيرًا للاهتمام، ربما لأنه لا يحتاج أن يكون. يتلقى الأهداف بريدًا إلكترونيًا، ويتبعون رابطًا إلى ملف مستضاف على السحابة، ويجدون أرشيف Java ضارًا يحتوي عليه، وهذه السلسلة من الخطوات لا يُحتمل أن يتم قطعها بواسطة دفاعات التصيد المتطورة.

البرمجيات الضارة في النهاية هي نسخة مخصصة من Adwind RAT، وهو حصان طروادة للوصول عن بُعد (RAT) بلغة Java قديم ولديه العديد من النسخ المعدلة. هذه النسخة تؤسس الاتصال الأولي والتحكم (C2) والاستمرارية من خلال تسجيل نفسها لتعمل عند بدء التشغيل، وتقوم بسلسلة من الفحوصات.

أولاً وقبل كل شيء، تتأكد البرمجيات الضارة من أن ضحيتها تقع في تركيا، وأن إعداد لغة الكمبيوتر الخاص بهم مضبوط على التركية. وهذا يسمح للمهاجم بالتركيز على الضحايا الذين يعرفهم جيدًا، ومنع هجماتهم من التسرب إلى مناطق أخرى حيث قد يحصلون على انتباه غير مرغوب فيه. بعد فحوصات تحديد الموقع الجغرافي، تحاول البرمجيات الضارة إضعاف نظام الضحية عن طريق تعطيل Microsoft Defender والتحقق من وجود برامج مكافحة الفيروسات الأخرى، وحظر تحديثات Windows، وكتم إشعارات الأمان على الشاشة، والقضاء على أي وسيلة لاستعادة البيانات.

لا تعتبر أي من هذه الحيل جديدة أو معقدة، لكنها تؤدي دورًا كبيرًا ضد الأهداف الصغيرة غير المحمية. “يمكن أن تتضمن الحملات الأصغر حجمًا تقنيات متقدمة، بما في ذلك التعتيم، والتغير الشكلي، وتوصيل الحمولة النمطية، والاتصالات المجهولة. توضح JanaWare أن الحملات ذات القيمة المنخفضة يمكن أن تحافظ على أساس تقني ناضج نسبيًا بينما تعمل على نطاق اقتصادي أصغر،” يقول بونتيرولي.

بعد إعداد المسرح، تسحب Adwind RAT المعدلة حمولتها النهائية: مكون فدية يسمى “JanaWare”، بالإضافة إلى مذكرة فدية عامة. لاحظ الباحثون مطالبات الفدية التي تتراوح بين 200 إلى 400 دولار.

الشركات الصغيرة والمتوسطة: أهداف سهلة

قد يبدو هذا مبلغًا زهيدًا في سوق الفدية اليوم، لكن كما يوضح بونتيرولي، “من الأسهل اختراق الضحايا الأصغر باستخدام تقنيات قابلة للتوسع مثل التصيد، حيث يميلون إلى أن تكون لديهم دفاعات أضعف، وغالبًا ما يكونون أكثر احتمالًا للدفع بسرعة. بدلاً من الاستثمار بشكل كبير في عدد قليل من الأهداف الكبيرة، يمكن للمهاجمين توليد إيرادات ثابتة من خلال استهداف العديد من الأهداف الصغيرة بمطالبات فدية أقل.”

“في الوقت نفسه، يجب ألا يتم التقليل من تأثير ذلك. حتى عند استهداف الكيانات الأصغر، يمكن أن يكون هناك تأثيرات تالية، خاصة إذا كانت تلك المنظمات جزءًا من سلسلة التوريد أو تقدم خدمات للآخرين. من هذه الناحية، يمكن أن تخلق الفدية ذات الحجم الكبير والقيمة المنخفضة اضطرابًا أوسع على الرغم من مطالباتها المتواضعة نسبيًا،” كما يقول.

ليس من الواضح عدد الأشخاص أو الشركات الذين قد يكونوا قد وقعوا ضحية لـ JanaWare في السنوات الست الماضية، جزئيًا بسبب طبيعة الهجمات الصغيرة. يفتقر الباحثون إلى نفس بيانات التتبع التي يتمتعون بها مع المنظمات الأكبر بين الأصغر، وبين الأفراد، ومعظم الناس العاديين في تركيا لن يقوموا بتحميل عينات البرمجيات الضارة إلى VirusTotal.

نتيجة لذلك، يجادل بونتيرولي بأن مجتمع الأمن السيبراني يحصل على صورة مشوهة عما يبدو عليه مشهد الفدية حقًا. “جزء كبير من نشاط الفدية يتركز فعليًا على المنظمات الأصغر،” كما يقول، مشيرًا إلى تقرير Verizon لعام 2025 حول “تحقيقات خروقات البيانات” (DBIR)، الذي وجد أن الفدية موجودة في 88% من حوادث خروقات SMB، مقارنةً بـ 39% فقط في المنظمات الأكبر.

“تميل الهجمات البارزة على المؤسسات إلى الهيمنة على العناوين بسبب حجمها وتأثيرها ومتطلبات الإفصاح، بينما غالبًا ما يتم الإبلاغ عن الحوادث التي تؤثر على المنظمات الأصغر بشكل غير كافٍ ويتم حلها بهدوء،” يشرح بونتيرولي. “نتيجة لذلك، فإن الرأي العام يميل نحو الحالات الكبيرة، على الرغم من أن حصة كبيرة من نشاط الفدية تعمل في هذا الطرف المنخفض القيمة وعالي الحجم من السوق.”

لا تفوت أحدث بودكاست Dark Reading Confidential، حيث يناقش المديرون الأمنيون كيف أن الجميع متورطون في الذكاء الاصطناعي: إليك السبب، حيث يتحدث CISO في Reddit فريدريك لي والمحلل في Omdia ديف غروبر عن الذكاء الاصطناعي وتعلم الآلة في SOC، كيف كانت النشر الناجحة (أو لم تكن) وما يحمله المستقبل لمنتجات أمان الذكاء الاصطناعي. استمع الآن!

تسلط هذه الحملة الضوء على أهمية تعزيز الأمن السيبراني، خاصة بالنسبة للشركات الصغيرة التي قد تكون أكثر عرضة للهجمات. يجب على الجميع اتخاذ خطوات وقائية لحماية أنفسهم من مثل هذه التهديدات.